.Shad.

Si personne ne t'apporte de solution, des quelques recherches que j'ai faites tu aurais peut-être moyen d'arriver à tes fins en te servant d'un serveur Radius (paquet du NAS), pris en compte par VPN Server d'après la documentation : https://www.synology.com/fr-fr/knowledgebase/DSM/help/RadiusServer/rad_clients C'est juste une idée.

@Kuchi69 Deux choses à vérifier : - Que ta box transfère bien les ports 443 et 80 vers ton NAS - Que l'interface de ta box n'émette pas sur le port 443, c'est pas impossible qu'elle le fasse et du coup elle balance la redirection à la poubelle, sans t'en avertir. Tu as peut-être un réglage dans la box pour modifier le port de son interface.

Il ne faut pas activer le domaine personnalisé pour DSM, juste créer une entrée pointant vers DSM dans le proxy inversé : https://dsm.ndd.com -> http://localhost:5000 Pour l'erreur de certificat, est-ce que dans Panneau de configuration -> Sécurité -> Certificats -> Configurer, tu as bien les différents services associés au bon certificat ?

Est-ce que tu as décoché la case :

Pardon désolé j'ai lu OpenVPN, pourtant ton message était clair. 🤪 Au moins tu sais que tu peux le faire par OpenVPN 👍

https://community.synology.com/enu/forum/17/post/114106 C'est ce que OpenVPN appelle habituellement les "client specific override".

Oui là j'avoue pourquoi avoir mis 120 si c'est 104 que tu veux. 🤪 Si tu souhaites te connecter en VPN n'oublie pas d'ajouter les IP du sous-réseau VPN.

Welcome !

Est-ce que l'IP 192.168.0.120 est l'adresse du PC avec lequel tu tentes d'accéder à tes services protégés par contrôle d'accès ?

Bienvenue parmi nous !

Tu ne casses pas l'isolation des conteneurs entre eux, juste avec l'hôte. Si tu veux vraiment isoler un conteneur tu ne l'ajoute à aucun réseau, et il ne sera accessible que par console depuis l'hôte. Tu as déjà une limitation aux données auxquelles accède le NAS via le montage des volumes, et tu peux très bien voir dans le Dockerfile d'une application quels ports sont utilisés, si tu as peur d'une activité suspecte.

J'ai vu bien pire pour un pare-feu 😄 je trouve que celui du NAS est pas si mal (malgré quelques défauts comme impossibilité de différencier IPv4 et IPv6...). Eh ! Tu as mis suffisamment de choses en place pour ne plus te permettre de répondre ce genre de chose ! 😄 Faut que tu saches pourquoi tu l'autorises ou pas. 😉 Tu peux choisir une validation HTTP-01 qui passe par les ports du NAS, ou DNS-01 qui passe par l'hébergeur de la zone DNS. Comme sur DSM. Ou SWAG. Si tu utilises acme.sh tu peux utiliser le même certificat et domaine pour tout. Vu qu'il y a un script de déploiement dans DSM qui facilite la chose, contrairement à Certbot (qui est utilisé dans SWAG).

S'il ne met pas cette règle, il aura des problèmes, par exemple faire un poll SNMP du NAS depuis Telegraf en bridge. 172.16.0.0/12 ce n'est pas localhost, c'est un réseau privé comme les autres de la RFC1918. @MilesTEG1 Pourquoi ouvrir Synology Assistant à la France ? (et peut-être d'autres services, on ne voit que les premiers dans l'avant-dernière règle).

@superspiff83 On peut se faire une session TeamViewer si tu veux. Libre en début de soirée (20h-20h30).

Il y aurait trop à dire, je sais pas quelle est la logique derrière, mais le principe du pare-feu est simple. Tu repars des règles de base du tutoriel. Pour requête donnée, tant qu'une règle ne remplit pas les conditions elle continue à parcourir la liste. A la fin tu as la règle de refus général. Je serais toi j'efface tout, et j'ajoute juste l'accès depuis le LAN et après je liste tout ce dont j'ai besoin et je vérifie si c'est déjà géré par une règle existante.

Il serait préférable que tu crées un fil dédié à la résolution de tes problèmes. 🙂

Bienvenue ! 🙂

Écrit /books dans le champ de texte.

La clé SSH c'est pour une connexion distante. C'est normal de ne pas utiliser la clé pour te connecter en root depuis un autre utilisateur. Effectivement tu avais mis ta clé privée au lieu de ta clé publique, la clé privée reste uniquement sur le périphérique qui se connecte. En gros la clé publique c'est ta réservation au restaurant, et la clé privée c'est le fait de prouver ton identité.

"Ça y est je me rappelle ce qui me tracasse, j'ai oublié de lui souhaiter la bienvenue !"

Je ne crois pas qu'on puisse se loguer directement en root avec une passphrase, seulement avec une clé SSH.

Tu as ajouté sudo devant ? Tu es bien connecté en root ?

Ma remarque concernait cette fonctionnalité là, le bannissement permet effectivement de bloquer la communication du périphérique vers l'extérieur, c'est souhaitable pour de l'IoT.

@Kramlech Normalement ça ne devrait pas l'empêcher de récupérer de temps à autre une IP fournie par le NAS. Mais oui il ne faut pas avoir deux serveurs DHCP actifs en même temps sur le même réseau.

Welcome cher voisin ! J'habite à Nivelles 🙂 On va bien s'entendre. 😈